De exploittechniek van de NSA waar de WannaCry-ransomware gebruik van maakte kan worden aangepast om Windows 10-systemen zonder de Creators Update en Device Guard aan te vallen, zo heeft Microsoft bevestigd. Eerder wisten onderzoekers van RiskSense de zogeheten EternalBlue-exploit van de NSA al voor Windows 10 aan te passen.
De softwaregigant heeft een analyse van twee gelekte NSA-exploits online gezet om de veiligheid van Windows 10 met de Creators Update te demonstreren. Naast de EternalBlue-exploit waar WannaCry zich door verspreidde gaat het ook om de EternalRomance-exploit. Beide exploits werden door een groep genaamd de Shadow Brokers online gezet en waren van de NSA afkomstig.
Zowel EternalBlue als EternalRomance maken gebruik van SMB-lekken in Windows die op het moment van de openbaarmaking door de Shadow Brokers al gepatcht waren. Toch wist de WannaCry-ransomware via de EternalBlue-exploit honderdduizenden en mogelijk zelfs miljoenen systemen te infecteren. Het ging voornamelijk om Windows 7-machines. In de analyse kijkt Microsoft naar de werking van beide exploits, de achterliggende technieken en hoe deze technieken tegen Windows 10 gebruikt zouden kunnen worden.
Volgens Microsoft zorgen nieuwe beveiligingstechnieken in de Creators Update, zoals het compileren van de kernel met Control Flow Guard (CFG) en de virtualization-based security (VBS) van Device Guard, dat beide exploittechnieken op Windows 10 niet werken. In het geval van Windows 10-systemen zonder Creators Update en Device Guard is het echter nog steeds mogelijk om de achterliggende exploittechniek van EternalBlue werkend te krijgen. Naast het upgraden naar de Creators Update en het gebruik van Device Guard adviseert Microsoft ook om inkomend SMB-verkeer op de firewall te blokkeren en waar mogelijk SMBv1 uit te schakelen.
Deze posting is gelocked. Reageren is niet meer mogelijk.